Application Security Specialist

Описание вакансии

Rakasta — это команда профессионалов, которая делает бизнес безопасным.

Нас отличает сильная команда, атмосфера роста и уникальные возможности для развития.

Мы работаем в модели MSSP, поэтому у нас динамичнее и интереснее, чем у классических интеграторов.

Наш секрет? Адекватные (и слегка безумные) коллеги, крутой офис с Xbox и кальяном, а главное — драйв от своего дела.

Мы специализируемся на проектах в сфере финансовых технологий, где вопросы безопасности имеют первостепенное значение. Наша команда обладает многолетним опытом работы с передовыми платежными продуктами, и мы готовы делиться этими знаниями.
От кандидата мы ожидаем опыта в области информационной безопасности и Application Security, а отраслевую специфику мы поможем освоить: предоставим обучение и направим на профильные курсы, необходимые для подготовки к участию в сертификациях PCI SSF (QSA).

Ваши задачи:
- Участие в построении стратегии развития Application Security в рамках клиентских проектов: определение подходящих решений, разработка документации, защита предлагаемых решений;
- Проведение аудита и оценка текущего состояния процессов разработки на соответствие нормативным требованиям и лучшим практикам (включая OWASP SAMM, PCI SSF, ISO/IEC);
- Разработка бизнес-процессов и архитектуры интеграции инструментального стека (SAST, DAST, SCA и др.);
- Формирование требований и мер по достижению целевого состояния процесса безопасной разработки (SSDLC);
- Участие в подготовке компаний-клиентов к сертификации по PCI SSF: сбор артефактов, формирование доказательной базы, коммуникация с аудиторами;
- Проведение тренингов, семинаров и воркшопов для команд разработки ПО по вопросам безопасности;
- Подготовка методических материалов, чек-листов и регламентов по безопасности приложений.

Требования:
- Опыт работы в сфере информационной безопасности от 2 лет;
- Уверенное понимание процессов разработки информационных систем и CI/CD;
- Опыт интеграции и сопровождения информационных систем в промышленной эксплуатации;
- Навыки подготовки архитектурной документации, регламентов, презентаций и отчетов;
- Опыт моделирования угроз (STRIDE, TARA, MITRE ATT&CK);
- Знание сетевых технологий и протоколов (TCP/IP, DNS, маршрутизация, DHCP, NAT, proxy, принципы работы межсетевых экранов);
- Грамотная устная и письменная речь, умение быстро наладить контакт с людьми.

Будет плюсом:
- Знание отраслевых стандартов и лучших практик DevSecOps (OWASP SAMM, BSIMM, PCI-SSF, NIST SSDF, ГОСТ 56939);
- Опыт работы с инструментами классов SAST / DAST / OSA / SCA / CA / ASOC / ASPM;
- Практика внедрения процессов безопасной разработки в банковских или финтех-организациях;
- Опыт выступления на профильных конференциях или публикаций статей;
- Понимание регуляторных требований (ЦБ РФ, ФСТЭК, PCI DSS/SSF).

Ваши возможности и наши условия

График работы: гибкое начало дня (обговорим индивидуально), возможность удалённой или гибридной работы.
Комфортный офис: современный бизнес-центр (W Plaza, класс В+) у м. «Тульская» с удобными рабочими местами, столовой и кафе.
Оформление: официальное трудоустройство с минимумом бюрократии.
Финансы: конкурентная зарплата, обсуждается индивидуально.
Возможности для роста
Обучение и развитие.
Сильная команда: работа с профессионалами и интересные задачи.
Поддержка: регулярные 1:1 с руководителем и открытая обратная связь.
Корпоративная культура
ДМС – забота о здоровье.
Работа в ИТ-аккредитованной компании.
Атмосфера: квесты, настольные игры, библиотека, вкусные плюшки к чаю и крутые корпоративы.